| お客様名 | 十六銀行 |
|---|---|
| 業種 | 金融・保険業 |
| 企業規模 | 1001人~5000人 |
| 目的・課題 | セキュリティ強化 |
| キーワード | IT 資産管理 , 脆弱性管理 |
安藤 和雄 氏
株式会社 十六銀行 DX部 システムデザイングループ課長
地域総合金融サービスグループである十六フィナンシャルグループの中核企業である十六銀行は、高度化・巧妙化するサイバー攻撃への対応力強化を目指し、IT 資産管理の高度化に取り組んでいます。十六銀行は ServiceNow を導入し、従来数週間を要していた脆弱性影響調査を1時間以内に短縮。リアルタイムな IT 資産の可視化により、金融機関に求められるサイバーセキュリティ管理態勢の高度化を推進しています。
金融機関に求められるサイバーセキュリティ管理態勢
十六フィナンシャルグループは岐阜県・愛知県を営業基盤とする地域総合金融サービスグループです。「お客さま・地域の成長と豊かさの実現」をパーパスとして、中核企業の十六銀行とともに、サイバーセキュリティ管理態勢の強化に取り組んでいます。
十六銀行は、お客さまが銀行口座に自由にアクセスし、さまざまなサービスを利用できる利便性・快適性を高めています。そんな十六フィナンシャルグループおよび十六銀行が、最重要の経営課題の1つとして取り組んでいるのが、サイバーセキュリティ管理態勢の高度化です。
金融機関は重要インフラ事業者として、サイバーセキュリティ管理態勢の整備が求められています。十六フィナンシャルグループはサステナビリティKPI として「危機発生時における初動対応訓練の年2回以上の実施」を設定し、十六フィナンシャルグループ・十六銀行共同でサイバー攻撃のインシデント対応演習を定期的に実施しています。
十六銀行 DX部 システムデザイングループ 課長の安藤和雄氏は、「サイバー攻撃はシステム的な事象ではありますが、システム停止した場合は業務に大きな影響を及ぼします。重要インフラ事業者である金融機関として、お客さまの資産をお守りするため、営業店対応、顧客保護、広報対応、関係機関との連携など、全社的な危機管理の体制が必要との認識のもと、CSIRT だけでなく、緊急時対策本部と連携して対応する体制を整えています」と語ります。
井貝 尚弘 氏
株式会社 十六銀行 DX部 システムデザイングループ 課長代理
さらに、十六銀行では、NIST(米・国立標準技術研究所)の Cybersecurity Framework などのフレームワークを活用したサイバーセキュリティ管理態勢の向上のほか、2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」に準拠するための活動も進めています。
十六銀行 DX部 システムデザイングループ 課長代理の井貝尚弘氏は、「NIST の Cybersecurity Framework では『Identify・特定』の1点目として『資産管理』が求められています。十六銀行では、サイバーセキュリティの基本事項である『資産管理』の高度化のため、ServiceNow を導入しました」と説明しています。
サイバーセキュリティ管理態勢の高度化への対応が IT 資産管理見直しの契機に
十六銀行では従来、社内ポータル上に利用する情報システムを管理するページを設けて、情報システムの管理を行っていました。しかし、各担当者が内容を登録・更新する仕組みであることから、「登録内容が十分でない」、「登録内容が更新されていない」、「必要な情報が一元管理・把握できない」といった課題があったのです。特に、脆弱性情報の公開時、該当する情報システムの洗い出しに時間・労力を要していました。
「該当の情報システムは自分たちのデータセンターにあるにも関わらず、サイバーセキュリティ部門から各情報システムの担当者へ脆弱性の影響調査を依頼し、各情報システムの担当者は業務システムベンダーへ調査依頼を展開するという流れとなっていたため、影響調査が完了するのに数週間の時間を要していました。高度化、巧妙化、頻発化するサイバー攻撃に対して、このような時間感覚では、いずれ破綻することは目に見えていました」(井貝氏)
また、金融庁からの「サイバーセキュリティセルフアセスメント」において、「IT 資産管理ツール等によって変更を自動で反映している」かが問われるようになったことも背景に、十六銀行では2022年末頃から IT 資産管理ツールの情報収集を開始しました。
自動脆弱性診断ツールとの連携性も高く評価
井貝氏が中心となって製品選定を進め、「設置場所の網羅性」、「機器・情報の網羅性」、「導入の容易性」、「自動脆弱性診断ツールとの連携性」、「価格面・サポート面」という観点から検討を行いました。
こうした検討の結果、ServiceNow が最適であると判断した理由について、井貝氏は次のように説明しています。
「ServiceNow はパブリッククラウドも対応しており、将来においても網羅性が高いと判断しています。また、Windows サーバだけでなく、Linux やネットワーク機器にも対応しており、各サーバ・機器から収集できる情報が要件を満たしていました。また、ミッションクリティカルな金融情報システムが多い中、インストール不要で、現行稼働システムへの導入の容易性も評価しています」さらに、既存のセキュリティツールとの連携性も重視。最終的には、パートナー企業との協業関係も選定ポイントになったと言います。
ServiceNow で IT 資産の可視化と脆弱性管理を高度化
十六銀行は、下記の8つのプロセスを ServiceNow で実行することで、IT 資産管理および脆弱性管理の高度化を推し進めています。
導入プロジェクトを支援した SBテクノロジー デジタルプラットフォームソリューション技術部 ServiceNow 第1グループの山野愛は、「今回の ServiceNow 導入にあたって、特に重視したのは OOTB(Out of the Box)の実践です。標準機能をそのまま利用し、実装を進めることで、開発作業や運用コストを最小限に抑えました」と話します。
もっとも、カスタマイズを一切行わなかったわけではありません。
「自動脆弱性診断ツールや SecOps が持っている標準リスクスコアではなく、十六銀行様が独自に設定している脆弱性対応基準に基づいて脆弱性のリスクスコアを算出しています。また承認についても、標準設定の2段階ではなくスピード重視により1段階とする一方、自己承認は許可しないよう制限をかけることにしました。お客様の業務特性をしっかり反映することで、最適な承認フローを実現しています」(山野)
ServiceNow の導入により、十六銀行の IT 資産管理と脆弱性管理に効果が出始めており、井貝氏は次のように語っています。
「ServiceNow ディスカバリーにより、タイムリーに構成情報が取得できるようになりました。どの情報システムに、どのアプリケーションの、どのバージョンがインストールされているのか、サイバーセキュリティ部門が自分だけで確認できるようになりました」(井貝氏)
特に脆弱性情報の影響確認スピードが飛躍的に向上したことが大きな成果だと言います。
「公表された脆弱性情報の影響確認においては、ServiceNow でバージョン番号まで確認できるため、余分な労力を減らすことに寄与しています。また、数週間要していた影響調査は、ServiceNow ディスカバリー対象であれば、1時間もかからないこともあります」(井貝氏)
また、2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」に対して、ServiceNow は有効なツールと安藤氏は評価しています。
「ガイドラインでは情報システム台帳をはじめ、ハードウェアおよびソフトウェアを適切に管理するための手続・台帳などを整備し、『最新の状態を網羅的に把握できるようにすること』が求められています。十六銀行は ServiceNow によってガイドラインへの準拠を進めるための手段を得たものと認識しております」(安藤氏)
新本部ビル開業も見据えサイバーセキュリティ高度化施策を加速
十六フィナンシャルグループおよび十六銀行は、ServiceNow の導入をきっかけに、さらなるセキュリティ施策の高度化を計画しています。安藤氏は今後の展望について次のように話します。
「まずは、対象機材の網羅性を高めていくことが先決だと認識しています。また、自動脆弱性診断ツールで検出される脆弱性アラートを十六銀行制定の脆弱性ガイドラインに沿ったリスクレベルを判定した上で ServiceNow に取り込んでおり、今後はこの機能を有効活用したチケット管理運用を考えています」
さらに、十六フィナンシャルグループおよび十六銀行では情報セキュリティを含むセキュリティ関連規程の見直し、人材育成、EDR 導入範囲の拡大など、2027年度の新本部ビル「16FG オフィス&パーク」開業を見据えて、さまざまなセキュリティ高度化施策を加速させていきます。
この導入事例のPDF |
|---|
導入事例に関するお問い合わせ
本事例に関するお問い合わせ、ご不明点など
お気軽にご相談ください。
